Владимир Дубровин

При наличии домена Windows, используется обычный DNS, имена разрешаются в дефолтном домене. В рабочих группах Windows используется протокол NBNR (NetBIOS name resolution), имена могут разрешаться броадкастным запросом или через WINS сервер. В сетях Apple (а так же на Windows при установке соответствующего компонента от Apple) используется протокол Bonjour. Для Linux сетей чаще всего используется протокол LDNS или обычный DNS с дефолтным доменом, как в доменных сетях Windows.

DMARC-SPF не проходит, потому что отправляющий сервер не попадает в SPF-политику

>host -tTXT namskidka.ru
namskidka.ru descriptive text "v=spf1 a mx include:spf.mandrillapp.com ?all"

добавьте include:spf.zoho.com

DMARC-DKIM не проходит, потому что у вас вообще нет DKIM-сигнатуры (RFC 4871), но есть устаревшая DomainKey-сигнатура (RFC 4870, в настоящее время не используется). Почему так - спросите у zoho.

"Kernel bypass" может относиться к двум достаточно разным подходам: использование специальных ASIC на которые перекладывается задача обработки пакетов, например фильтрация или маршрутизация, или технологии, когда обработка сетевых пакетов полностью выносится в userspace. В любом случае, помимо аппаратной поддержки и/или специализированного оборудования, требуется поддержка технологии внутри приложения, причем во втором случае очень существенная, вплоть до реализации собственного стека TCP/IP, потому что все это идет мимо системного стека. Т.е. вы должны понимать, что вы будете получать "канальный" трафик, и работать примерно как через pcap-библиотеки.

Вы получите гораздо лучший результат, если воспользуетесь Google Apps, https://pdd.yandex.ru/ или https://biz.mail.ru/ и воспользуетесь пошаговыми инструкциями, потому что сейчас надо знать очень много нюансов, чтобы грамотно настроить почтовый сервер.

1. Убедитесь что домены адресов из envelope-from существуют и совпадают с доменом в адресе из From: с точностью до организационного домена (это необходимо для DMARC), например в From: support@example.com, в envelope-from noreply@server1.example.com. Можно использовать один и тот же домен (example.com) в From: и envelope-from.
2. В SPF-записях для доменов из envelope-from (server1.example.com) пропишите адреса SMTP-серверов
3. Выберите селектор для рассылок, можно один общий, можно разные для разных серверов, например mail1. Для каждого селектора опубликуйте публичный DKIM-ключ, например mail1.example.org, чем генерировать особой разницы нет, можно использовать opendkim-genkey. Ключ можно использовать один и тот же для разных селекторов, можно разный, главное чтобы приватный ключ был в паре с публичным. Настройте подпись рассылок DKIM выбранного домена с выбранным селектором (домен из поля From, а не envelope-from).
4. Опубликуйте DMARC-политику none, предварительно убедившись что домен из From и envelope-from элайнятся (совпадают с точностью до принадлежащего вам домена), для домена из envelope-from проходит SPF, для домена из From: проходит DKIM.

Поднять не сложно, в 3proxy
pop3p -hpop.nic.ru
smtpp -hsmtp.nic.ru
а конечная-то цель какая?

Набор доступных аттрибутов определяется словарями, обычно
/etc/raddb/dictionary, /usr/share/freeradius/dictionary.*, см. man dictionary
при этом аттрибуты бывают стандартные и бывают vendor-specific.
Таблица возможных значений стандартных аттрибутов поддерживается IANA
www.iana.org/assignments/radius-types/radius-types...
документации по Vendor-specific аттрибутам очень часто вообще нет в природе. Исходи не из возможностей FreeRADIUS, т.к. ему все равно с какими аттрибутами работать, если каких-то аттрибутов не хватает, то ты можешь их добавить в словари вручную, а из того, какие RADIUS аттрибуты поддерживаются сервером OpenConnect.

Задачу можно решить двумя способами, смотрите сами какой из них удобней.

1. Установить промежуточный прокси, который будет обеспечивать необходимую схему выхода наружу. На всех клиентах использовать один прокси. Могу помочь с конфигурацией 3proxy.

2. Использовать WPAD (протокол автоконфигурации прокси) и статический роутинг на каждой машине для выбора канала. Роутингом можно управлять с помощью DHCP-опции static route либо реализовать нужную схему роутинга по сетям на маршрутизаторе. WPAD позволяет использовать скрипт для определения прокси, поддерживается всеми основными браузерами.

Существует такое понятие, как точка обмена интернет-трафиком (IX), например MSK-IX, SPB-IX, AMS-IX и т.п. Это точка, в которую приходит много каналов от разных провайдеров, и в которой провайдеры обмениваются трафиком между собой. Каждый из провайдеров, участвующих в обмене трафиком самостоятельно организует или арендует канал до IX. Обмен трафиком идет через оборудование и по стандартам поддерживаемым IX. Крупные сервисы не пользуются услугами провайдеров а присутствуют в IX самостоятельно, т.е. сами оперируют так же, как и провайдеры услуг. На этих же точках может вестись обмен трафика с крупными магистральными операторами, которые предоставляют в т.ч. зарубежный трафик, либо может арендоваться канал до одной из зарубежных IX.
P.S. через traceroute часто можно видеть, через какие точки обмена трафиком прошел пакет к тому или иному ресурсу.

Почтовый сервис Яндекс формировал автоответы таким образом, что они не проходили проверку отправителя (отсутствует DKIM-подпись и не совпадает домен SPF). Мы (Mail.Ru) сообщили коллегам из Яндекс о проблеме, неделю назад. Они приняли ее и пообщали устранить как можно быстрей. Со своей стороны вы так же можете сообщать о проблемах авторизации писем тому сервису, который их формирует.

> Существуют ли готовые решения для этого или есть спецификация для подобного обращения к серверу

обычно подобная обработка делает на локальной доставке письма. Вы можете написать свой Mail delivery Agent (MDA), который встанет между MTA (mail transfer agent) и "настоящим" MDA (mail delivery agent), будет получать письмо от MTA, обрабатывать его и передавать другому MDA. Посмотрите, например, описания procmail и maildrop, возможно, найдете там если не необходимый функционал, то понимание, как его организовать.

Как написали выше, по POP3 и IMAP письма не отправляются, отправляются по SMTP. Если отправляете почтовой программой, можно посмотреть заголовки письма в папке "Отправленные". Если вам надо знать, какие заголовки добавляет ваш почтовый сервер или отправляете скриптом, то пошлите себе скрытую копию (BCC) или, если отправка идет из скрипта, добавьте свой адрес в список получателей не добавляя его в заголовки письма.

При авторизации записывать пользователю в сессию уникальных токен.

в целом нормально, но лучше не привязывать создание токена к авторизации, т.к. CSRF может быть и до авторизации, например CSRF на саму авторизацию. Создавайте его непосредственно при создании сессии. При этом чтобы не хранить токен на сервере и не создавать в явном виде, можно генерировать его как хэш, например MD5(sessionid,secret) - где secret некий ключ, известный только вашему серверу, который в случае необходимости можно поменять. В остальном - да, используйте его как скрытое поле во всех формах или как заголовок в ajax-запросах. Но если используете как скрытое поле в формах - избегайте GET-запросов, т.к. это потенциально может привести к раскрытию токена через Referer.

<meta charset="utf-8">
должно быть

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">